Como configuro uma conexão Site-to-Site VPN com roteamento dinâmico entre a AWS e o Azure?

Breve descrição

Para configurar o roteamento dinâmico entre a AWS e o Azure, crie e configure os gateways do cliente, os gateways de VPN, os gateways de rede local e as configurações de túneis no lado da AWS e do Azure. Em seguida, configure um failover de BGP ativo-ativo e verifique o status da conexão VPN.

Resolução

Observação: para obter mais informações sobre como otimizar o desempenho, consulte AWS Site-to-Site VPN, choosing the right options to optimize performance (AWS Site-to-Site VPN, escolhendo as opções certas para otimizar o desempenho).

Pré-requisitos:

• Verifique se você tem um Encaminhamento Entre Domínios Sem Classificação (CIDR) da Amazon Virtual Private Cloud (Amazon VPC) associado a um gateway privado virtual ou a um gateway de trânsito.
• Certifique-se de que o CIDR da Amazon VPC e o CIDR da rede Azure não se sobreponham.

Criar uma rede virtual e um gateway VPN no lado do Azure

Conclua as etapas a seguir:

1. Use o portal do Azure para criar uma rede virtual. Para mais informações, consulte Create an Azure Virtual Network (Criar uma rede virtual do Azure) no site da Microsoft.
2. Crie um gateway VPN com um endereço IP público. Para mais informações, consulte Create a VPN gateway (Criar um gateway VPN) no site da Microsoft. Realize as seguintes ações:
   Em Região, escolha a região na qual você deseja implantar o gateway VPN.
   Em Tipo de gateway, escolha VPN.
   Em Tipo de VPN, escolha Baseado em rota.
   Em SKU, escolha o SKU que atenda aos seus requisitos de workload, throughput, recursos e SLAs.
   Em Rede virtual, selecione a rede virtual associada ao seu gateway VPN (semelhante a uma VPC no ambiente da AWS).
   Em Habilitar modo ativo-ativo, escolha Desativado para criar um novo endereço IP público que é usado como endereço IP do gateway do cliente no Console de Gerenciamento da AWS.
   Em Configurar BGP, escolha Ativado.
   Em Endereço IP de BGP APIPA do Azure personalizado, selecione 169.254.21.2.
   Observação: o ASN que você usa para o gateway VPN deve ser o mesmo que o ASN do gateway do cliente no Console de Gerenciamento da AWS (65000).

Criar um gateway do cliente e uma conexão AWS Site-to-Site VPN no lado da AWS

Conclua as etapas a seguir:

1. Crie um gateway do cliente.
   Em BGP ASN, é possível adicionar o seu próprio ou usar a opção padrão (65000). Se você escolher o padrão, a AWS fornecerá um Número de Sistema Autônomo (ASN) para seu gateway do cliente.
   Em Endereço IP, insira o endereço IP público do Azure de quando você configurou o gateway VPN no portal do Azure. Para mais informações, consulte a etapa 2 da seção Configuração do Azure deste artigo.
2. Crie uma conexão AWS Site-to-Site VPN.
   No intervalo CIDR IPv4 interno para túnel 1 para sua Site-to-Site VPN, escolha um endereço do intervalo de endereços de Endereçamento IP Privado Automático (APIPA) reservado do Azure. Os endereços APIPA variam de 169.254.21.0 para 169.254.22.255 para túneis dentro do endereço CIDR IPv4.
   Exemplo de endereço: 169.254.21.0/30
   Exemplo de endereço IP de BGP (AWS): 169.254.21.1
   Exemplo de endereço IP de mesmo nível (Azure): 169.254.21.2
   Em Tipo de gateway de destino, selecione o gateway privado virtual ou o gateway de trânsito.
   Em Opções de roteamento, escolha Dinâmico.
3. Baixe o arquivo de configuração da AWS.

Criar um gateway de rede local no lado do Azure

Conclua as etapas a seguir:

1. Use o portal do Azure para criar um gateway de rede local. Para mais informações, consulte Create a local network gateway (Criar um gateway de rede local) no site da Microsoft. Realize as seguintes ações:
   Em Endereço IP, insira o endereço IP público do Túnel 1 que você recebeu ao criar uma Site-to-Site VPN. É possível encontrar isso no arquivo de configuração que baixou do Console de Gerenciamento da AWS.
   Em Espaço de endereço, insira o bloco CIDR da Amazon VPC.
   Em Número de Sistema Autônomo (ASN), insira o ASN da AWS.
   Em Endereço IP de par do BGP, insira o endereço IP de BGP da AWS. Para mais informações, consulte a etapa 2 da seção Configuração da AWS deste artigo.
2. Crie uma conexão Site-to-Site VPN com o BGP ativado no portal do Azure. Para mais informações, consulte Create VPN connections (Criar conexões VPN) no site da Microsoft.
   Observação: os algoritmos criptográficos e a chave pré-compartilhada (PSK) são os mesmos no Azure e no AWS.
   Fase 1 (IKE):

   Encryption: AES56      Authentication: SHA256      DH Group: 14

   Fase 2 (IPSEC):

   Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
       Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Configurar o failover de BGP ativo-ativo com Site-to-Site VPN entre AWS e Azure

Conclua as etapas a seguir:

1. No portal do Azure, crie um gateway VPN.
   Em Modo ativo-ativo, escolha Ativado. Isso fornece dois endereços IP públicos. Para mais informações, consulte Create a VPN gateway (Criar um gateway VPN) no site da Microsoft.
2. Abra o console da Amazon VPC.
3. Escolha Gateways de cliente.
4. Insira os dois endereços IP públicos fornecidos no portal do Azure na etapa 1 para criar dois gateways de cliente.
   Em ASN de BGP, insira o ASN que você configurou no portal do Azure.
   Em Tipo de roteamento, escolha Dinâmico.
5. Crie duas conexões Site-to-Site VPN que se conectam a um gateway privado virtual ou a um gateway de trânsito. Use os seguintes intervalos CIDR para o Túnel dentro dos intervalos de endereços IP no túnel 1 de cada conexão VPN:
   Em Site-to-Site VPN 1, use 169.254.21.0/30.
   Em Site-to-Site VPN 2, use 169.254.22.0/30.
   Observação: os primeiros endereços IP (21.1 e 22.1) nesse intervalo são atribuídos aos endpoints de Site-to-Site VPN. Certifique-se de configurar corretamente os segundos endereços IP no Azure (21.2 e 22.2).
6. Use o portal do Azure para criar dois gateways de rede local do Azure. Para os endereços IP, use os endereços IP públicos do Túnel 1 dos seus túneis de AWS Site-to-Site VPN. Além disso, certifique-se de que o ASN corresponda ao gateway privado virtual ou ao gateway de trânsito. Para mais informações, consulte Create a VPN gateway (Criar um gateway VPN) no site da Microsoft.
7. Use o portal do Azure para criar duas conexões Site-to-Site VPN do Azure. Certifique-se de que cada conexão tenha um gateway de VPN do Azure que aponte para os gateways de rede local que você criou na etapa anterior.

Observação: para obter o ECMP na configuração ativo-ativo, você deve ativar o suporte de ECMP da VPN no gateway de trânsito.

Verificar o status da conexão VPN

Depois de estabelecer sua configuração de Site-to-Site VPN, confirme se o status do túnel de VPN está ATIVO.

No portal do Azure, verifique se a conexão VPN tem o status Bem-sucedido. Em seguida, certifique-se de que o status mude para Conectado quando fizer uma conexão bem-sucedida. Para mais informações, consulte Verify the VPN connection (Verificar conexão VPN).

Em seguida, crie uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em sua Amazon VPC para verificar a conectividade entre a AWS e o Azure. Conecte-se ao endereço IP privado da máquina virtual (VM) do Azure e confirme se você estabeleceu a conexão Site-to-Site VPN. Para mais informações, consulte Create a site-to-site VPN connection in the Azure portal (Criar uma conexão Site-to-Site VPN no portal do Azure) no site da Microsoft.

Para mais informações, consulte Test an AWS Site-to-Site VPN connection (Testar uma conexão AWS Site-to-Site VPN).

Observação: para conexões VPN de gateway de trânsito, certifique-se de que existam anexos de gateway de trânsito adequados tanto para a VPC quanto para a Site-to-Site VPN. Em seguida, ative a propagação de rotas. As rotas CIDR da rede virtual do Azure se propagam somente depois que você estabelece o BGP.